云防火墙最佳实践 - 云防火墙

如何选择适合我的云防火墙版本

云防火墙分为高级版、企业版和旗舰版三个版本，每个版本支持的功能和资产/带宽扩展规格不同，详细信息参见功能特性。

互联网边界防火墙帮助您检测和防护云上公网IP资产间的通信流量。只有为资产开启互联网边界防火墙后，您才可以使用云防火墙分析和控制云上主机的互联网访问流量。

您可以在云防火墙控制台的防火墙开关页面的互联网边界防火墙页签，对指定的公网IP资产开启互联网边界防火墙。选择管理

VPC边界防火墙能够检测和统计已连通的VPC间的通信流量数据，帮助您发现和排查异常攻击。开启VPC边界防火墙之前，您需要先创建VPC边界防火墙。

步骤说明如下：

云防火墙服务开通后，您可在防火墙开关页面将资产全部开启保护，在入侵防御页面中开启拦截模式，即可全面保护您的资产安全。

在外对内流量的访问策略中，不要对公网IP全部端口开放访问，对外仅开放必要的互联网IP和端口，其他端口请全部设置为拒绝。

放行需要对外开放的应用或端口。
在访问控制页面外对内流量列表中，依据业务需求，将源IP地址配置为0.0.0.0/0或特定源，也可选择地址簿中系统默认配置的地址簿ANY（0.0.0.0/0）或特定源，目的选择要放开的IP或地址簿中的特定目的，协议选择ANY或者依据业务需要选择对应协议，动作选择放行。

例如，80端口为Web服务，对全网开放，因此访问源为0.0.0.0/0；1433、3389端口分别为SqlServer、RDP服务，对特定源开放，因此访问源为特定源。
将除放行策略之外的流量设置为拒绝放行。
在访问控制页面外对内流量列表中，将源IP地址配置为0.0.0.0/0或地址簿中系统默认配置的地址簿ANY（0.0.0.0/0），目的设置为ANY，协议设置为ANY，动作选择拒绝。

内对外流量建议不要开放全部放行的策略，只对到必要的外部IP或域名的访问开启放行，其他访问全部设置为拒绝。

放行需要对外访问的应用或端口。
在访问控制页面内对外流量列表中，依据业务需求，将源IP地址配置为0.0.0.0/0或特定源，也可选择地址簿中系统默认配置的地址簿ANY（0.0.0.0/0）或特定源，目的选择要放开的域名或IP或地址簿中的特定目的，协议选择ANY或者依据业务需要选择对应协议，动作选择放行。
将除放行策略之外的流量设置为拒绝放行。
在访问控制页面内对外流量列表中，将源IP地址配置为0.0.0.0/0或选择地址簿中系统默认配置的地址簿ANY（0.0.0.0/0），目的设置为ANY，协议设置为ANY，动作选择拒绝。